JP5524361B2 - ファイアウォールの背後のホストに対するセキュリティで保護された接続開始 - Google Patents
ファイアウォールの背後のホストに対するセキュリティで保護された接続開始 Download PDFInfo
- Publication number
- JP5524361B2 JP5524361B2 JP2012556194A JP2012556194A JP5524361B2 JP 5524361 B2 JP5524361 B2 JP 5524361B2 JP 2012556194 A JP2012556194 A JP 2012556194A JP 2012556194 A JP2012556194 A JP 2012556194A JP 5524361 B2 JP5524361 B2 JP 5524361B2
- Authority
- JP
- Japan
- Prior art keywords
- tuple
- host system
- message
- kof
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Description
− KOP REQ:特定の5タプルを代表して接続確立を要求する。
− KOP ACK:KOP REQメッセージに応答して接続確立を承認する。
− KOP NAK:KOP REQメッセージに応答して接続確立を拒否する。
− KOP RSP:KOP REQメッセージに応答して、さらなる情報を要求する。このメッセージに対する応答は、別のKOP REQメッセージである。
− KOP FIN:5タプル接続を終了する。
− KOPメッセージは、特定のポート番号を有するUDPを使用することが可能である。以降、特に明記しない限り、このアプローチが、KOPに関して使用される。
− KOPメッセージは、それらのメッセージ独自のプロトコルタイプを伝送することが可能である。
− KOPメッセージは、ICMPを使用することが可能である。
− KOP情報は、IPオプションヘッダ(IPv4)またはIP拡張ヘッダ(IPv6)の中に埋め込まれ得る。これは、IPv6に関して特に良好なソリューションである。
− KOPメッセージは、特定のトランスポートプロトコルの中で実施されることも可能である。例えば、TCPの場合、TCPオプションヘッダが、KOPメッセージにフラグを付けるのに使用されることも可能である。例えば、KOP REQメッセージは、TCP SYNメッセージ上に便乗させることが可能である。
− KOP情報は、既存のシグナリングプロトコル、例えば、IKEv2(IETF RFC 4306)の中に含められることが可能である。
KOF通過状態:
− 2タプル
− 有効期限(通過状態存続期間が満了する時刻)
− カウンタ(最大カウント属性の値までKOPメッセージの数をカウントアップする、または最大カウント属性の値からKOPメッセージの数をカウントダウンする)
KOF通過状態有効期限は、前述した通過状態タイマを実施し、さらにKOF通過状態カウンタは、前述した通過状態カウンタを実施する。
KOF阻止状態:
− 2タプル
− 有効期限(阻止状態存続期間が満了する時刻)
通常の動作の下で、メモリの中に保持されるべきKOF状態の数は、ごくわずかである。しかし、この数は、メッセージフラッディング攻撃中、大幅に増大する可能性がある。そのような状況下で、次のセクションで説明されるプレフィックスベースの保護が有益である。
プレフィックスベースの保護
KOFが組み込まれたFW12は、それぞれの内部のホストHiに着信するKOP REQメッセージのレートを制限するが、内部のホストをKOP REQメッセージのフラッディング攻撃から保護することもしなければならない。このことは、KOF自体の過負荷につながる攻撃を含む。そのような状況下で、KOFは、KOFの機能をむしろ一時的に低下させなければならず、これにより、組込み型KOFファイアウォール12機能を従来のFWの機能に戻す。
− それぞれの内部のホストHiに関して、KOFは、通過状態76または阻止状態78にある或る最大限の数Nの2タプルだけを、これら2つの状態がメモリ割当てを要求するので、保持することが可能である。これら2つの状態のいずれかを保つ2タプルは、2タプルエントリと呼ばれる。
− 内部のホストHiに関する2タプルエントリの数がNに達し、さらに内部のホストHiに対する新たなインバウンドKOF REQが着信して、通過状態76にある新たな2タプルエントリの生成をもたらすと、内部のホストの2タプルエントリのうちの2つが組み合わされて、単一の2タプルエントリにされなければならない。組み合わされた2タプルエントリは、前述した2つの2タプルエントリのそれぞれ1つの2タプルにそれぞれが対応する、外部のホストHoのIPアドレスの共通部分を「プレフィックス」として使用する。プレフィックスという用語は、この場合、サブネット割当ての意味で使用されていないことに留意されたい。
− 両方の2タプルエントリが、同一の状態(通過状態76または阻止状態78)を有する場合、この状態は、組み合わされた2タプルエントリに持ち越される。この状態が通過状態76である場合、組み合わされた2タプルエントリのカウンタは、前の2タプルエントリのカウンタのうちの大きい方の値に設定され、さらに組み合わされた有効期限は、前の2タプルエントリの有効期限のうちの小さい方の値に設定される。この状態が阻止状態78である場合、組み合わされた2タプルエントリの有効期限は、前の2タプルエントリの有効期限のうちの大きい方の値に設定される。
− 両方の2タプルエントリが、異なる状態を有する(一方が、通過状態76にあり、他方が、阻止状態78にある)場合、組み合わされた2タプルエントリは、阻止状態78に設定され、有効期限は、リセットされる。
− 組合せ手順のために使用される2タプルエントリの選択は、マージされた2タプルに関する最長のプレフィックスに基づくことが可能である。このプレフィックスが長いほど、外部のホストのIPアドレス間のトポロジ上の距離は小さくなる。この選択プロセスの計算作業は、数Nがかなり小さいように選択され得るので、かなり少ない。
例:N=3:
内部のホストHiは、内部のホストHiに対する新たなKOF REQが着信する際に、N=3個の2タプルエントリを既に有する:
レガシーファイアウォールと直列のノックオンフィーチャ
図3を再び参照し、特に、第2のネットワークアーキテクチャ10bを参照すると、KOF18が、ファイアウォール20と直列に別個の機能として追加されることも可能である。このことは、UDPベースのKOPメッセージが使用される場合、実現するのが特に容易である。この場合、ファイアウォール上で対応するUDPポートが、開かれる。
− 内部のホストHiとRS22が、DH交換を使用してセキュリティで保護されたシグナリング接続を確立する(202)。これにより、FW20上に第1の5タプルエントリを作成し、このエントリは、内部のホストHiおよびRS22に対応する。
− 外部のホストHoが、DH交換を使用してRS22を相手にセキュリティで保護された接続を確立する(204)。
− 外部のホストHoが、KOP REQメッセージをRS22に、このメッセージをまず完全性保護した後、送信する(206)。KOP REQメッセージのペイロードは、事前定義されたパラメータタイプを使用して内部のホストのHiデータを含む。このデータは、提案される接続のために使用されるべき内部のホストHiのIPアドレス、プロトコルタイプ、およびポート番号を含む。
− RS22上に存在するKOFが、KOP REQメッセージを評価する。その目的で、KOFは、第1のネットワークアーキテクチャ10a、および第2のネットワークアーキテクチャ10bに関連して前述したのと同一の2タプル62動作を使用する。
− 内部のホストHiのIPアドレス、および外部のホストHoのIPアドレスに対応する2タプルに関するKOF状態が、阻止状態78にはない場合、RS22は、KOP REQメッセージを、シグナリングリンクを介して内部のホストHiにトンネリングする(208)。RS22は、前述したとおり、KOP REQメッセージに関する完全性保護を提供する。KOP REQメッセージは、外部のホストHoのIPアドレスを含む。
− FW20上の第1の5タプルエントリの作成に関連して前述したとおり、メッセージが伝送されるシグナリングリンクが既に確立されているので、FW20はKOP REQメッセージを通過させる(210)。
− 内部のホストHiが、KOP REQメッセージの中の情報を使用して、外部のホストHoと直接に連絡をとる。この連絡は、内部のホスト、および外部のホストHoに対応する第2の5タプルエントリをFW20上に作成し、このエントリは、外部のホストHoが、内部のホストHiからの通信に直接に応答することを許す。
− 内部のホストHiが、外部のホストHoにKOP NAKメッセージを送信すること(212)を所望する場合、内部のホストHoは、RS22に対するシグナリング接続を使用し、外部のホストHoのIPアドレスを含め、さらにメッセージを完全性保護する。FW20が、完全性保護されたKOP NAKメッセージをRS22に転送する(214)。RS22が、このメッセージを検証し、このメッセージの2タプル62は阻止状態78に遷移し、さらにKOP NAKメッセージを外部のホストHoに転送する(216)。
− 内部のホストHiは、KOP REQメッセージに応答して外部のホストHoにKOP ACKメッセージを送信する(218)オプションも有する。FW20が、KOP REQメッセージをRS22に転送する(220)。RS22上に組み込まれたKOFが、内部のホストHiおよび外部のホストHoの5タプルに対応するFW状態を保つ、前述したFWの5タプル60と同一である5タプルに関するエントリを保持する。5タプルのFW状態は、RS22が、KOP ACKメッセージを外部のホストHoまで通過させる(222)と、通過状態68に設定される。5タプルのFW状態が通過状態68にある間、RS22は、外部のホストHoから内部のホストHiに、さらに内部のホストHiから外部のホストHoに任意の情報を中継する。
− 内部のホストHiは、KOP REQメッセージに応答して外部のホストHoにKOP RSPメッセージを送信するオプションも有する。このメッセージは、KOP ACKメッセージに関して説明したのと同一の仕方で外部のHoに通信される。外部のホストHoは、KOP RSPメッセージによって要求される情報を含む、別のKOP REQメッセージでKOP RSPメッセージに応答する。第2のKOP REQメッセージは、第1のKOP REQメッセージに関して説明したのと同一の仕方で内部のホストHiに通信される。説明されるこれらの複数のKOP RSP/KOP REQメッセージ交換224が、許される。
− 内部のホストHiが、外部のホストHoにKOF FINメッセージを送信して(226)、KOP ACKメッセージを介して開始された中継接続を終了させる。KOF FINメッセージは、KOP ACKメッセージに関して説明したのと同一の仕方で外部のホストに中継される。KOF FINメッセージおよびKOF ACKメッセージは、RS22がすべてのトラフィックデータを中継する事例において使用されることに留意されたい。
ネットワークアドレストランスレータへの適用
ほとんどのNATは、ネットワークアドレス変換またはネットワークアドレス/ポート変換をファイアウォール機能と組み合わせる。これらの場合、前述したのと同一のKOF方法が、適用され得る。しかし、NATにより、内部のホストHiの内部アドレスおよび内部ポート番号は、NATによって変換された内部のホストHiの公開のアドレス、および公開のポート番号とは異なる。したがって、外部のホストHoは、内部のホストHiとどのように連絡をとるべきかを知らない可能性がある。さらに、内部のホストHiは、内部のホストHiの公開のIPアドレスを知らない可能性がある。この状況は、KOPメッセージに影響するとともに、トランスポート接続の確立にも影響する。
Claims (10)
- 第1のホストシステムと第2のホストシステムの間で、前記第2のホストシステムを保護するファイアウォールを介して接続を確立する方法であって、
KOF(ノックオンフィーチャ)装置によって、
前記第1のホストシステムによって送信された第1のメッセージを受信すること、
前記第1のメッセージが、前記第1のホストシステムと前記第2のホストシステムの間で前記接続を確立するための第1のタイプであると判定すること、
前記第1のメッセージから前記第1のホストシステムのアドレス、および前記第2のホストシステムのアドレスをそれぞれ特定すること、
前記KOF装置上に前記第1のホストシステムの前記アドレス、および前記第2のホストシステムの前記アドレスに対応する2タプルに関する状態情報が存在するかどうかを判定すること、および
前記KOF装置上に前記2タプルに関する前記状態情報が存在しない場合、前記第1のメッセージを前記第2のホストシステムに送信することを実行することを備える、方法。 - 前記2タプルに関する第1のタイマを初期設定し、開始すること、
前記2タプルに関するメッセージカウンタを初期設定し、インクリメントすること、
前記第1のタイマが満了した場合、前記KOF装置上の前記状態情報を除去し、さらに前記KOF装置上に前記2タプルに関する前記状態情報が存在する場合、
前記第1のタイマを調べること、
前記メッセージカウンタのカウントを調べること、
前記カウントが所定の値に達している場合、前記2タプルに関する第2のタイマを開始して、前記第1のメッセージをドロップすること、および
前記カウントが前記所定の値に達していない場合、前記第1のメッセージを前記第2のホストシステムに送信することをさらに備える、請求項1に記載の方法。 - 前記KOF装置上に前記2タプルに関する前記状態情報が存在する場合、
前記第2のタイマを調べること、
前記第2のタイマが満了していない場合、前記第1のメッセージをドロップすること、
前記第2のタイマが満了している場合、前記KOF装置上の前記2タプルに関するすべての前記状態情報を除去すること、
前記第2のホストシステムによって送信された第2のメッセージを受信すること、
前記第2のメッセージが、前記第1のメッセージに応答して前記第1のホストシステムから情報を要求するための第2のタイプであると判定すること、および
前記第2のメッセージを前記第1のホストシステムに送信することをさらに備える、請求項2に記載の方法。 - 前記KOF装置が、前記ファイアウォールの外部に、ファイアウォールと直列に位置する方法であって、
前記第2のタイマを調べること、
前記第2のタイマが満了していない場合、前記第1のメッセージをドロップすること、および
前記第2のタイマが満了している場合、前記2タプルに関する5タプル状態情報を含め、前記KOF装置上の前記2タプルに関するすべての前記状態情報を除去することをさらに含み、前記5タプル状態情報が、前記2タプルに加えて、前記接続に関して、プロトコルタイプの指示と、前記第1のホストシステムの第1のポートの指示と、前記第2のホストシステムの第2のポートの指示とを含む、請求項2に記載の方法。 - 前記第2のホストシステムに関して前記KOF装置上に存在する状態情報の量を特定すること、
前記量が所定の上限を超えたことに応答して、前記第2のホストシステムと、各ペアにおいて異なる別のホストシステムとをそれぞれが備える2つのホストシステムペアの状態情報を組み合わせて、前記第2のホストシステムの前記アドレスと、前記2つのホストシステムペアの他方のホストシステムのそれぞれのアドレスに共通であるアドレスプレフィックスとを備える1つのホストシステムペアに関する状態情報にすること、
前記1つのホストシステムペアに関する組み合わされたタイマを、前記2つのホストシステムペアのそれぞれの第1のタイマの小さい方に設定すること、および
前記1つのホストシステムペアに関する組み合わされたメッセージカウンタを、前記2つのホストシステムペアのそれぞれのメッセージカウンタの大きい方に設定することをさらに備える、請求項1に記載の方法。 - 前記第2のホストシステムによって送信された第3のメッセージを受信すること、
前記第3のメッセージが、前記第1のホストシステムと前記第2のホストシステムの間の前記接続を終了させるための第3のタイプであると判定すること、および
前記第3のタイプのメッセージを受信したことに応答して、前記KOFから、前記2タプルに関する5タプル状態情報を除去することをさらに含み、前記5タプル状態情報が、前記2タプルに加えて、前記接続に関して、プロトコルタイプの指示と、前記第1のホストシステムの第1のポートの指示と、前記第2のホストシステムの第2のポートの指示とを含む、請求項1に記載の方法。 - 前記KOF装置が前記ファイアウォールの一部である方法であって、
前記第2のホストシステムによって送信された第4のメッセージを受信すること、
前記第4のメッセージが、前記第1のメッセージに応答して前記接続を開始するための第4のタイプであると判定すること、
前記5タプルに関して第3のタイマを開始すること、
前記第1のホストシステムによって送信され前記第2のホストシステムを宛先とする通信トラフィックを受信すること、
前記第3のタイマを調べること、
前記ファイアウォール上に前記5タプルに関する状態情報が存在するかどうかを判定すること、および
前記第3のタイマが満了していないことに応答して、さらに前記ファイアウォール上に前記5タプルに関する前記状態情報が存在することに応答して、前記通信トラフィックを通過させることをさらに備える、請求項6に記載の方法。 - 前記KOF装置が、前記ファイアウォールの外部にある中継サーバの一部である方法であって、
前記受信するステップが、前記第1のホストシステムと前記中継サーバの間の前もって確立された第1のシグナリング接続を介して前記第1のメッセージを受信することを備え、さらに前記送信するステップが、前記第2のホストシステムと前記中継サーバの間の前もって確立されたシグナリング接続を介して前記第1のメッセージを前記第2のホストシステムに送信することを備える、請求項1に記載の方法。 - 前記送信するステップが、
前記KOF上に、前記第1のホストシステムの前記アドレス、および前記第2のホストシステムの前記アドレスに対応する2タプルエントリを作成すること、および
その2タプルエントリを通過状態に設定することをさらに備える、請求項1に記載の方法。 - 前記第1のホストシステムに関して前記KOF装置上に存在する状態情報の量を特定すること、
前記量が所定の上限を超えたことに応答して、前記第1のホストシステムと、各ペアにおいて異なる別のホストシステムとをそれぞれが備える2つのホストシステムペアの状態情報を組み合わせて、前記第2のホストシステムの前記アドレスと、前記2つのホストシステムペアの他方のホストシステムのそれぞれのアドレスに共通であるアドレスプレフィックスとを備える1つのホストシステムペアに関する状態情報にすることをさらに備える、請求項1に記載の方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/718,565 US20110219443A1 (en) | 2010-03-05 | 2010-03-05 | Secure connection initiation with hosts behind firewalls |
US12/718,565 | 2010-03-05 | ||
PCT/US2011/026782 WO2011109461A1 (en) | 2010-03-05 | 2011-03-02 | Secure connection initiation hosts behind firewalls |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013521711A JP2013521711A (ja) | 2013-06-10 |
JP5524361B2 true JP5524361B2 (ja) | 2014-06-18 |
Family
ID=44060760
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012556194A Expired - Fee Related JP5524361B2 (ja) | 2010-03-05 | 2011-03-02 | ファイアウォールの背後のホストに対するセキュリティで保護された接続開始 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20110219443A1 (ja) |
EP (1) | EP2543170B1 (ja) |
JP (1) | JP5524361B2 (ja) |
KR (1) | KR101406556B1 (ja) |
CN (1) | CN102812685B (ja) |
WO (1) | WO2011109461A1 (ja) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8925079B2 (en) * | 2011-11-14 | 2014-12-30 | Telcordia Technologies, Inc. | Method, apparatus and program for detecting spoofed network traffic |
EP2747386A1 (en) * | 2012-12-20 | 2014-06-25 | Telefonica S.A. | Method and System for the creation, modification and removal of a distributed virtual customer premises equipment |
US9407602B2 (en) * | 2013-11-07 | 2016-08-02 | Attivo Networks, Inc. | Methods and apparatus for redirecting attacks on a network |
JP5962690B2 (ja) * | 2014-02-21 | 2016-08-03 | コニカミノルタ株式会社 | 管理サーバー、接続支援方法および接続支援プログラム |
US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
WO2019032728A1 (en) | 2017-08-08 | 2019-02-14 | Sentinel Labs, Inc. | METHODS, SYSTEMS AND DEVICES FOR DYNAMICALLY MODELING AND REGROUPING END POINTS FOR ONBOARD NETWORKING |
US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
US10771312B2 (en) * | 2018-02-28 | 2020-09-08 | Zte Corporation | Failure detection in a data network |
US10762200B1 (en) | 2019-05-20 | 2020-09-01 | Sentinel Labs Israel Ltd. | Systems and methods for executable code detection, automatic feature extraction and position independent code detection |
US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
US11824757B1 (en) * | 2022-05-13 | 2023-11-21 | Palo Alto Networks, Inc. | Firewall switchover with minimized traffic disruption |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6832321B1 (en) * | 1999-11-02 | 2004-12-14 | America Online, Inc. | Public network access server having a user-configurable firewall |
US6816910B1 (en) * | 2000-02-17 | 2004-11-09 | Netzentry, Inc. | Method and apparatus for limiting network connection resources |
US6530056B1 (en) * | 2000-08-25 | 2003-03-04 | Motorola, Inc. | Method for setting a timer based on previous channel request statistics |
US7072303B2 (en) * | 2000-12-11 | 2006-07-04 | Acme Packet, Inc. | System and method for assisting in controlling real-time transport protocol flow through multiple networks |
US7089320B1 (en) * | 2001-06-01 | 2006-08-08 | Cisco Technology, Inc. | Apparatus and methods for combining data |
US20030131258A1 (en) * | 2002-01-04 | 2003-07-10 | Kadri Seemab Aslam | Peer-to-peer communication across firewall using internal contact point |
US6781990B1 (en) * | 2002-02-11 | 2004-08-24 | Extreme Networks | Method and system for managing traffic in a packet network environment |
JP4303600B2 (ja) * | 2002-04-08 | 2009-07-29 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 異なるアドレス領域を有するネットワーク間の接続設定機構 |
CN1251446C (zh) * | 2002-07-18 | 2006-04-12 | 华为技术有限公司 | 一种防御网络传输控制协议同步报文泛滥攻击的方法 |
US7234161B1 (en) * | 2002-12-31 | 2007-06-19 | Nvidia Corporation | Method and apparatus for deflecting flooding attacks |
US7380123B1 (en) * | 2003-10-02 | 2008-05-27 | Symantec Corporation | Remote activation of covert service channels |
CA2562912A1 (en) * | 2004-04-12 | 2005-10-27 | Xds, Inc. | System and method for automatically initiating and dynamically establishing secure internet connections between a fire-walled server and a fire-walled client |
CN101147376A (zh) * | 2005-02-04 | 2008-03-19 | 诺基亚公司 | 降低tcp洪泛攻击同时节省无线网络带宽的装置、方法和计算机程序产品 |
US7646775B2 (en) * | 2005-03-08 | 2010-01-12 | Leaf Networks, Llc | Protocol and system for firewall and NAT traversal for TCP connections |
US8107822B2 (en) * | 2005-05-20 | 2012-01-31 | Finisar Corporation | Protocols for out-of-band communication |
WO2010002381A1 (en) * | 2008-06-30 | 2010-01-07 | Hewlett-Packard Development Company, L.P. | Automatic firewall configuration |
US8789173B2 (en) * | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
-
2010
- 2010-03-05 US US12/718,565 patent/US20110219443A1/en not_active Abandoned
-
2011
- 2011-03-02 WO PCT/US2011/026782 patent/WO2011109461A1/en active Application Filing
- 2011-03-02 EP EP11712711.8A patent/EP2543170B1/en not_active Not-in-force
- 2011-03-02 CN CN201180012494.XA patent/CN102812685B/zh not_active Expired - Fee Related
- 2011-03-02 KR KR1020127023107A patent/KR101406556B1/ko not_active IP Right Cessation
- 2011-03-02 JP JP2012556194A patent/JP5524361B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
KR101406556B1 (ko) | 2014-06-11 |
KR20120123536A (ko) | 2012-11-08 |
CN102812685B (zh) | 2015-06-24 |
JP2013521711A (ja) | 2013-06-10 |
EP2543170B1 (en) | 2016-03-02 |
EP2543170A1 (en) | 2013-01-09 |
WO2011109461A1 (en) | 2011-09-09 |
CN102812685A (zh) | 2012-12-05 |
US20110219443A1 (en) | 2011-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5524361B2 (ja) | ファイアウォールの背後のホストに対するセキュリティで保護された接続開始 | |
Schulzrinne et al. | GIST: general internet signalling transport | |
Nikander et al. | End-host mobility and multihoming with the host identity protocol | |
US20070283429A1 (en) | Sequence number based TCP session proxy | |
Gill et al. | The generalized TTL security mechanism (GTSM) | |
KR20070041438A (ko) | 방화벽 보호 서버와 방화벽 보호 클라이언트 사이에 보안인터넷 연결을 자동으로 개시하고 동적으로 설정하는시스템 및 방법 | |
US11831607B2 (en) | Secure private traffic exchange in a unified network service | |
Aura et al. | Designing the mobile IPv6 security protocol | |
Henderson et al. | Host mobility with the host identity protocol | |
Kantola | Implementing trust-to-trust with customer edge switching | |
Santhanam et al. | Active cache based defense against dos attacks in wireless mesh network | |
Aura et al. | Effects of mobility and multihoming on transport-protocol security | |
Abusafat et al. | Roadmap of security threats between IPv4/IPv6 | |
Pauly et al. | TCP encapsulation of IKE and IPsec packets | |
Swami et al. | Protecting mobile devices from TCP flooding attacks | |
Aguilar-Melchor et al. | TurboTLS: TLS connection establishment with 1 less round trip | |
Tilli | Application Layer Network Address Translation | |
Kim et al. | Experiments and countermeasures of security vulnerabilities on next generation network | |
Pauly et al. | RFC 9329: TCP Encapsulation of Internet Key Exchange Protocol (IKE) and IPsec Packets | |
Kühlewind et al. | RFC 9312: Manageability of the QUIC Transport Protocol | |
Décimo et al. | RFC 8968 Babel Routing Protocol over Datagram Transport Layer Security | |
Huston | Multipath tcp | |
Pauly et al. | RFC 8229: TCP Encapsulation of IKE and IPsec Packets | |
Gundavelli et al. | RFC 8803: 0-RTT TCP Convert Protocol | |
Gill | Lack of Priority Queuing Considered Harmful: We’re in sore need of critical Internet infrastructure protection. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130924 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140311 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140409 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5524361 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |